Kontroll på data i hele livssyklusen
Lyttbar er bygget for offentlig sektor. Vi dokumenterer dataplasseringskart, underdatabehandlere, loggtid og hendelseshåndtering slik at anskaffelser kan godkjenne løsningen uten ekstra friksjon.
Dataplasseringskart
All behandling skjer innenfor EU/EØS. Endringer i underdatabehandlere varsles med minimum 30 dager. Se også databehandleravtalen i juridisk hub.
| Tjeneste | Lokasjon | Rolle | Formål | Retensjon |
|---|---|---|---|---|
| Lyttbar plattform (primær drift) | Norge/Sverige (EU/EØS) | Databehandler | Applikasjon, API og lagring | Tekst/lyd 0–90 dager (30 standard) |
| Vercel EU | Frankrike/Tyskland (EU) | Underdatabehandler | Hosting av webgrensesnitt | Ingen lagring av innhold |
| Supabase EU | Irland (EU) | Underdatabehandler | Autentisering, logging, metadata | Logger 12 mnd, fakturadata 5 år |
| Sentry EU | Tyskland (EU) | Underdatabehandler | Feillogging og applikasjonsovervåkning | Feillogger 90 dager |
Sikkerhetskontroller
Tilgangsstyring
SSO (Azure AD/SAML/OIDC) med MFA. Roller: Admin, Editor, Viewer. Privilegerte handlinger loggføres med tidsstempel og IP-adresse.
Kryptering
TLS 1.2+ i transitt, AES-256 ved lagring. Dokumenter krypteres ved opplasting, og nøkler administreres via KMS.
Dataminimering
Tekst og lyd lagres kun for å fullføre bestillinger. Standard retention 30 dager (konfigurerbar 0–90). Metadata for fakturering lagres i 5 år.
Logging og revisjon
API-kall, innstillinger og administratorhandlinger lagres i 12 måneder. Eksport kan bestilles på forespørsel.
Backup og gjenoppretting
Daglige krypterte sikkerhetskopier i EU. Gjenopprettingstester kvartalsvis. RTO < 4 timer, RPO < 1 time.
Sikker utvikling
CI/CD med statiske analyser, avhengighetsskanning og manuell kodegjennomgang. Penetrasjonstest årlig.
Dataminimering, sletting og lagring
Retensjon: Tekst og lyd lagres kun for å fullføre bestillingen og slettes automatisk etter valgt periode. Standard er 30 dager, justerbart mellom 0–90 dager per kunde. Metadata for økonomi lagres i 5 år.
Sletting: Kunder kan be om umiddelbar sletting eller eksport. Ved avtaleslutt slettes data innen 30 dager og bekreftes skriftlig.
Tilgang: Kun autoriserte ansatte med tjenstlig behov har tilgang. Alle tilganger revideres kvartalsvis.
Hendelseshåndtering
Varsling skjer via sikkerhetskontakt (sikkerhet@lyttbar.no). Kritiske hendelser varsles innen én time, øvrige innen 24 timer. Kundens kontaktpunkter benyttes som avtalt i SLA.
Oppdagelse og triagering
Automatisert overvåkning (24/7) varsler beredskapsteam. Hendelser kategoriseres som kritisk, høy, middels eller lav.
Respons
Kritiske hendelser håndteres innen 1 time. Kunde varsles via definert kontaktpunkt. Midlertidige tiltak logges.
Analyse og utrydding
Årsak og omfang dokumenteres. Tilgang til berørte systemer begrenses og sårbarheter tettes.
Gjenoppretting
Data gjenopprettes fra krypterte sikkerhetskopier. SLA: RTO < 4 timer, RPO < 1 time.
Oppfølging
Avvik rapporteres til kunder og Datatilsynet ved behov. Læringspunkter legges inn i sikkerhetsplanen.
Patch- og endringsrutiner
- Kritiske sårbarheter: Patched innen 48 timer etter publisert CVE.
- Normale sikkerhetsoppdateringer: Rulles ut ukentlig, med vedlikeholdsvindu varslet 5 virkedager i forkant.
- Endringskontroll: PR-gjennomgang, automatiske tester og rollback-plan for alle produksjonsendringer.
- Revisjon: Kvartalsvis sikkerhetsreview og årlig revisjon sammen med utvalgte kunder.
Sertifiseringer og roadmap
| Tiltak | Status | Merknad |
|---|---|---|
| Etterlevelse i dag | GDPR, WCAG 2.1 AA | DPA/SLA, tilgjengelighetserklæring og sikkerhetsdokumentasjon tilgjengelig. |
| ISO 27001-sertifisering | Planlagt | Forberedende arbeid pågår – mål Q2 2026. |
| SOC 2 Type II-rapport | Vurderes | Kartlegging av krav for samarbeid med statlige virksomheter. |
| Samisk språkstøtte | Roadmap | Nord-, sør- og lulesamisk planlagt i samarbeid med språkressurser (pilot 2026). |
For anskaffelser
Dokumenter: Be om tilgang til bruksvilkår, DPA, SLA og sikkerhetsark i juridisk hub. Pakken inkluderer også DPIA/ROS-mal og go-live-sjekkliste.
Kontaktpunkt: sikkerhet@lyttbar.no (PGP tilgjengelig). Kritiske henvendelser håndteres 24/7.
ROS/DPIA-støtte: Vi bistår med ferdig mal og informasjon om risiko, kontroller og residual risiko.